Lokaler Admin mit PowerShell inkl. Ablaufdatum erstellen

[Lauch86]

Hallo zusammen,

ich möchte gerne einen lokalen Administror anlegen mit Ablaufdatum. Sprich das Konto soll nach X Tagen nicht mehr funktionieren. Bestenfalls automatisch gelöscht werden.

Ideal wäre ein PS Script was den Account "LocalAdmin" anlegt, in die lokale Admingruppe packt und das Konto nach X Tagen wieder komplett entfernt. Das Kennwort des Accounts soll beim ersten Anmelden geändert werden müssen.

Ist das so überhaupt möglich?

 

[ignator]

Hallo, vielleicht wäre LAPS was für dich.

Passt nicht 100%-ig - wäre aber eine mögliche Alternative.

https://4sysops.com/archives/faqs-for-microsoft-local-administrator-password-solution-laps/

 

[kamanu]

@ignator dafür brauchts dann aber erstmal ne Domäne.

 

[Lauch86]

LAPS haben wir auch im Einsatz, das läuft hier aber nicht zuverlässig bzw. ist unpraktisch wenn ein Client mal >30 Tage nicht im Netz ist und kein VPN zur Verfügung steht.

 

[Lauch86]

Habe die Lösung aus einem anderen Forum, falls es wen interessiert:

$username = "LocalAdmin"
$user = New-LocalUser -AccountExpires (get-date).AddDays(14) -Name $username -Password (ConvertTo-SecureString 'Passw0rd' -AsPlainText -Force)
$user | Add-LocalGroupMember -Group (Get-LocalGroup -SID S-1-5-32-544)
$uobj = ([adsi]"WinNT://localhost/$username")
$uobj.PasswordExpired = 1
$uobj.setinfo()